Les données que les entreprises collectent et traitent doivent être archivées, car cela déterminera dans quelle mesure elles pourront être accessibles, retrouvées, réutilisables et interopérables.
L’archivage des données est également essentiel pour vous éviter les pertes de données qui peuvent résulter de différentes situations, des pannes de disques durs à l’erreur humaine, en passant par le vol physique et surtout les attaques de ransomware.
Dans ce dossier, nous allons parler particulièrement de la solution adaptée pour contrer les attaques de ransomwares, étant donné que celles-ci ont récemment causé beaucoup de chaos et de dommages dans de nombreux réseaux à travers le monde.
Quel que soit le malheur qui pourrait être causé par un ransomware, une sauvegarde de données vous procurera le répit que vous recherchez. En fait, elle vous permet de sécuriser vos informations sensibles et de les restaurer en cas de besoin, à condition que celles-ci soient stockées dans un endroit sécurisé, en local ou dans le cloud.
La question est de savoir où est-ce que vous devez archiver vos données pour qu’elles soient protégées contre les menaces de ransomwares ?
La mesure la plus appropriée est actuellement l’utilisation de la règle de sauvegarde 3-2-1 qui associe stockage physique et virtuelle.
Comment fonctionne cette fameuse règle et pourquoi est-elle si importante ?
Dans ce dossier, nous allons répondre à cette question.
La règle de sauvegarde 3-2-1 : la meilleure pratique pour sauvegarder et restaurer vos données
Qu’on se le dise, aucune stratégie de sauvegarde n’est infaillible à 100 %, mais adopter la règle de sauvegarde 3-2-1 s’avère encore l’approche la plus fiable.
Pour protéger vos données et les récupérer après l’attaque d’un ransomware, vous devez disposer d’un système de sauvegarde fiable. Voici donc quelques conseils qui vous aideront à éviter que les ransomwares ne détruisent votre réseau et ne verrouillent vos données :
Utiliser le meilleur filtre antispam que vous puissiez obtenir pour protéger les utilisateurs contre les liens et les pièces jointes contenant des malwares
Mettre en œuvre des couches de filtrage de contenu pour protéger les utilisateurs et les sessions automatisées des sites web qui servent de centres de téléchargement
Utiliser une protection antivirus et un antimalware réputés sur les périphériques d’extrémité, c’est-à-dire les périphériques matériel connectés au réseau LAN ou WAN
Mettre à jour régulièrement tous vos appareils et apporter les modifications nécessaires
Installer un antivirus de passerelle qui analyse toutes les sessions Internet actives et supprime les paquets de code infectés par des malwares
Désactiver le protocole de bureau à distance sur tous les ordinateurs qui sont directement exposés à Internet
Désactiver les fichiers s’exécutant depuis les dossiers AppData ou LocalAppData si possible
Former et éduquer les utilisateurs pour qu’ils deviennent plus prudents et proactifs face aux attaques de ransomware.
Le patching
La dernière attaque ransomware Petya/ExPetr a démontré à quel point la mise à jour des systèmes est cruciale pour contrer les attaques de ransomware.
Souvent, les entreprises ne peuvent pas toujours déployer les mises à jour lorsqu’elles sont disponibles, car elles doivent tout d’abord tester les modifications et s’assurer que celles-ci ne créent aucun problème. Les équipes informatiques doivent également intégrer la redondance dans l’infrastructure, de sorte que si le système tombe en panne lorsqu’elles apportent les correctifs, un autre système puisse conserver les données pendant cette période.
Désormais, la protection des périphériques d’extrémité ne doit plus être assurée par un seul outil ou une seule entité. Elle doit être constituée d’une série d’outils bien coordonnés, qui fonctionnent conjointement et qui se complètent mutuellement.
Malheureusement, même la gamme la plus robuste d’outils de protection de sécurité ne peut garantir une protection complète contre les malwares. La raison est que de nombreux utilisateurs transportent constamment des périphériques au-delà du périmètre de sécurité du réseau.
La zone d’incursion des ransomwares est limitée
Il y a un fait réconfortant au sujet des ransomwares : leur zone d’infestation est limitée.
Ce ne sont pas des vers qui se propagent intelligemment pour se répandre à la fois sur les réseaux locaux et les réseaux étendus. Son incursion est limitée aux volumes locaux et aux lecteurs cartographiés, lesquels peuvent inclure les éléments suivants :
Un lecteur mappé pointant vers un partage réseau ou un serveur de stockage en réseau (NAS).
Un lecteur externe connecté à la machine infectée, incluant le périphérique de stockage USB.
Un stockage Cloud installé localement, tel que Dropbox.
La bonne nouvelle, si l’on peut dire, c’est que dans le cas où un ransomware est capable d’établir une tête de pont sur l’un de vos appareils, malgré la fiabilité de votre réseau de sécurité, les dommages seront limités à la portée physique de cet appareil.
La solution pour la protection contre les ransomwares
Et voici l’autre bonne nouvelle.
Il existe une seule solution pour lutter contre ces malwares et qui fonctionnera toujours quoiqu’en fassent les utilisateurs. Cette solution vous évitera de perdre toutes vos données, peu importe la panne technique qui survient dans votre périmètre de sécurité.
Si votre entreprise est victime d’une attaque de ransomware, vous n’aurez aucunement besoin de payer la rançon si vous effectuez des sauvegardes régulières et planifiées. Bien entendu, une telle sauvegarde sera inutile si le moyen utilisé a un lien physique avec l’appareil infecté.
La règle de sauvegarde 3-2-1 : comment ça marche ?
Afin de sauvegarder efficacement vos données, vous aurez besoin d’une redondance. C’est le but de la règle de sauvegarde 3-2-1 traditionnelle.
Elle fonctionne de la manière suivante :
Ayez au moins 3 copies de vos données
Utiliser 2 formats différents pour chaque copie
Que l’une des copies soit sauvegardée hors site.
Vous avez besoin de trois copies de vos données. Ainsi, l’original pourra être supporté par deux copies sauvegardées séparément.
Vos données doivent résider sur deux supports distincts, par exemple sur un partage réseau, sur les baies de stockage SSD, etc. Il peut également s’agir d’un support traditionnel qui semble si ancien aujourd’hui, mais qui est suffisamment mobile pour être transporté hors site, dans un endroit sûr. Cela peut être un site séparé et déjà utilisé par votre entreprise, voire un coffret de sûreté à la banque locale.
Sachez toutefois qu’il existe une autre solution qui satisfait à la fois aux conditions de conservation sur deux formats et à l’emplacement distant. Il s’agit de mutualisation des ressources de stockage.
Pour ce faire, vous pouvez archiver vos données à des intervalles réguliers, tout au long de la journée et dans un environnement identique, dans un site de sauvegarde, d’archivage et de reprise après sinistre. Ceci vous permet de récupérer facilement vos données après une attaque sur le serveur hôte.
Conseils pour l’archivage des données sur site
Lorsque vous allez adopter la règle de sauvegarde 3-2-1, la première solution que nous avons évoquée est de conserver vos archives en interne, plus précisément dans votre serveur local. Pour ce faire, vous n’aurez besoin que d’utiliser votre infrastructure informatique existante.
Cette option est nécessaire pour faciliter l’accès aux données, avec une faible latence. De cette manière, votre service informatique pourra également avoir le contrôle de vos données.
Si votre organisation dispose déjà du matériel adapté pour le stockage des informations, n’oubliez pas de tenir compte des coûts de maintenance, telle que la gestion des correctifs, les coûts d’alimentation et de refroidissement des serveurs, la réplication ou la sauvegarde des données ou bien le remplacement périodique des supports de stockage suivant leur temps moyen de défaillance estimé.
Etant donné les différentes menaces qui risquent de porter atteinte à votre serveur, il faut adopter des dispositifs et méthodes de sécurité pour garantir l’accès, la sécurité et l’intégrité de vos données.
Voici une liste non exhaustive des solutions qui sont le plus souvent mises en œuvre par les entreprises.
Les pare-feu
Un pare-feu est considéré comme l’une des premières lignes de défense de votre réseau, en isolant un réseau d’un autre. Il peut s’agir d’un système autonome ou d’un système intégré à d’autres dispositifs d’infrastructure, comme des serveurs ou des routeurs.
Un pare-feu fonctionne en empêchant le trafic indésirable de pénétrer dans votre réseau d’entreprise, ce qui contribue à prévenir la fuite de données vers des serveurs tiers malveillants via des malwares ou des pirates informatiques.
La prévention des pertes de données intégrée (DLP)
Il s’agit d’un ensemble de techniques qui permettent d’identifier, de surveiller et de protéger les postes de travail, les serveurs et les réseaux de votre entreprise pour s’assurer que les données sensibles ne sont pas copiées, retirées, déplacées ou supprimées.
La DPL sert également à surveiller les personnes qui utilisent et transmettent les données sensibles afin de détecter toute utilisation non autorisée.
Le contrôle d’accès au réseau (NAC)
Cette technique consiste à restreindre la disponibilité des ressources de votre réseau local aux dispositifs d’extrémité qui respectent la politique de sécurité que vous avez prédéfinie.
Certaines solutions NAC permettent de corriger automatiquement un nœud de réseau non conforme afin de garantir sa sécurité avant que certains appareils obtiennent l’autorisation d’y accéder. Ceci signifie que les dispositifs non autorisés ne pourront pas accéder à vos données directement depuis votre réseau, ce qui vous protègera de différentes sortes d’attaques cybercriminels.
Les serveurs proxy
Vous pouvez aussi mettre en place des serveurs proxy ; des dispositifs qui servent de négociateurs pour les demandes des logiciels clients qui tentent d’obtenir des ressources d’autres serveurs.
Lorsqu’un client se connecte à votre serveur proxy afin de demander un service, comme la visite d’un site web, le serveur proxy va évaluer la demande avant d’autoriser ou de refuser l’accès.
Les entreprises utilisent souvent les serveurs proxy utilisés pour filtrer le trafic et améliorer les performances de leur réseau. Mais ils peuvent également restreindre l’accès à des données sensibles depuis le web.
Comment sauvegarder vos données dans un système de stockage physique externe ?
L’application de la règle de sauvegarde 3-2-1 requiert également l’archivage de vos données en externe.
Si vous n’avez pas un grand volume d’informations à protéger, une clé USB pourrait faire l’affaire pour les stocker. Mais ce n’est pas toujours le cas pour les entreprises qui traitent beaucoup de fichiers, d’e-mails et qui doivent garder leur propriété intellectuelle à l’abri des menaces cybercriminelles.
En général, les entreprises utilisent des disques durs pour sauvegarder leurs fichiers. Ils sont parfaits pour l’archivage des données hors site, car vous pouvez les emporter d’un endroit à l’autre, de sorte qu’en cas de sinistre qui affecte votre site principal, vous aurez toujours une copie de vos fichiers.
Vous pouvez utiliser les disques durs portables qui sont à la fois faciles à utiliser et plus rapides, comparés aux disques optiques. Toutefois, ils peuvent nécessiter un rafraîchissement des données qu’ils contiennent tous les deux ou trois ans.
Les disques durs (SSD) sont généralement fiables. S’ils sont mis hors service et stockés en toute sécurité, ils peuvent durer une ou deux décennies avant que leur capacité diminuent et qu’ils commencent à produire des erreurs irrécupérables.
Bien entendu, il existe d’autres solutions de stockage comme les bandes magnétiques qui sont également des supports amovibles. Elles sont toujours d’actualité pour les entreprises et sont désormais disponibles dans de très grandes capacités.
Toutefois, les bandes magnétiques peuvent s’étirer et se casser au fil des années. Les données peuvent également être effacées par les champs magnétiques. De plus, ce type de support est généralement cher à l’achat.
Comme alternative, vous pourriez être tenté d’utiliser des disques optiques. Ce type de support d’archivage est incontestablement le plus résistant et le plus pratique à utiliser. Leur capacité, pouvant aller jusqu’à une centaine de Gigaoctets, peut suffire pour gérer les tâches de sauvegarde et d’archivage à long terme. Pourtant, les disques optiques sont généralement très chers, et l’écriture des donnés sur ce genre de support est relativement lente par rapport à celle des disques SSD et disques durs USB 3.0.
Quel que soit le type de support choisi, il est recommandé de le placer dans un endroit sécurisé, ou même dans un coffre-fort. Pour quelques centaines d’euros, vous pouvez vous en procurer un qui est suffisamment lourd pour ne pas être facile à transporter ; qui peut résister aux incendies et qui est résistant à l’eau. Ainsi, à moins d’un désastre total, vous serez toujours en mesure d’accéder à vos archives.
Comment bien conserver vos disques durs et vos données ?
D’abord, sachez que l’environnement est essentiel pour garder vos disques durs en parfait état le plus longtemps possible. La chaleur, l’humidité, les vibrations et les champs magnétiques peuvent réduire drastiquement leur durée de vie opérationnelle. Le disque dur est également un dispositif mécanique. Il est donc vulnérable aux chocs. Le faire tomber sur un sol dur – par exemple, lorsque vous le sortez du coffre-fort – pourrait causer la perte de vos données.
Il est recommandé de faire tourner le disque au moins une fois par an. Pour ce faire, il suffit de le brancher dans votre ordinateur et de vérifier qu’il fonctionne correctement.
Changez vos disques lorsque vous jugez que c’est nécessaire, car ils ne sont pas éternels. En fait, leur taux de défaillance va augmenter au fil des années. De plus, le fait de remplacer vos disques au bout de deux ou trois ans vous permettra de bénéficier d’une plus grande capacité, souvent pour le même prix, voire moins.
Archivage des données dans le cloud : découvrez les solutions de TitanHQ
De nos jours, de nombreuses entreprises stockent déjà leurs fichiers importants dans le cloud, et c’est une bonne chose. Comme susmentionnée, cette pratique est essentielle lorsque vous voulez conserver une autre copie de vos données dans un autre endroit, tel qu’exigé par la règle de sauvegarde 3-2-1.
Cependant, il faut vous assurer que vos données sont chiffrées. Il existe certains services de stockage cloud qui chiffrent vos données, comme iCloud et Dropbox. Cependant, vous devriez vous méfiez des autres services qui conservent des copies de vos fichiers, car certains d’entre eux ne sont pas forcément sécurisés, ou bien que leur capacité de stockage ou leur flexibilité est limité.
L’idéal est de confier l’archivage de vos informations sensibles à des professionnels de l’archivage dans le cloud, comme TitanHQ.
Afin de protéger votre réseau, vos données et votre entreprise contre les menaces en ligne, la marque vous propose plusieurs solutions, à savoir :
ArcTitan
Une grande partie des données de votre entreprise se trouvent dans les e-mails. Le courrier électronique constitue donc un élément vital de votre organisation, mais il peut aussi être une source importante de risques.
D’une part, vos e-mails peuvent être exposés au risque de cybercriminalité, mais ils ont également un rôle important dans la conformité. ArcTitan est une solution reconnue pour archiver vos messages, ce qui vous permet d’être sûr que vos informations sensibles et vos pièces jointes sont stockées en toute sécurité, tout en étant facilement accessibles.
ArcTitan offre plusieurs fonctionnalités, comme l’accès à distance à vos messages archivés et le chiffrement des e-mails, la protection à 100 % contre la perte de données et la possibilité d’économiser jusqu’à 75 % sur le stockage.
Voici trois solutions fournies par le spécialiste de la sécurité web TitanHQ que votre entreprise devrait adopter lorsque vous voulez archiver et protéger vos données dans le cloud.
WebTitan
Lorsque vos employés utilisent l’Internet, certains d’entre sont susceptibles de consulter des sites malveillants ou des contenus inappropriés pour le travail. Non seulement cela pourrait diminuer leurs productivité, mais les pirates peuvent aussi les utiliser pour mener des attaques de malwares, de phishing, etc.
WebTitan Cloud est une solution de filtrage web basée dans le cloud via laquelle vous pourrez surveiller et contrôler les activités de vos collaborateurs lorsqu’ils utilisent votre réseau. Grâce à la solution de TitanHQ, vous allez pouvoir les protéger grâce à la mise en place de politiques adaptés à vos besoins et des rapports complets concernant leurs activités en ligne.
De cette manière, vos données sur site et celles qui sont stockées dans le cloud seront à l’abri des menaces en ligne.
SpamTitan
Cette solution vous permet de filtrer efficacement les e-mails entrants et sortants de vos entreprises. SpamTitan Cloud peut bloquer les spams qui sont généralement l’outil le plus utilisé par les pirates informatiques pour mener différentes sortes d’attaques en ligne.
Ce filtre de messagerie avancé peut détecter plus de 99,9 % des e-mails non sollicités, des tentatives de phishing et des communications frauduleuses. Il possède également un ensemble de fonctionnalités complètes adaptées aux entreprises de toute taille et évolue en permanence au fur et à mesure que de nouvelles menaces sont détectées.
Conclusion
Si vous prévoyez d’archiver vos données, il est fort probable que vous vous souciez de la possibilité de leur reprise après sinistre et de la continuité des activités après une attaque en ligne.
Ce que vous devez surtout retenir est que le fait de les archiver dans un seul support, dans le même bâtiment ou la même pièce est une mauvaise idée.
Selon la règle de sauvegarde 3-2-1, il est nécessaire d’avoir une copie sécurisée de vos données sur site pour pouvoir y accéder rapidement en cas de besoin. Vous devez aussi créer deux autres copies qui seront stockées dans deux différents supports, à des emplacements éloignés de votre système local, comme dans le cloud.
Quel que soit le plan d’archivage que vous choisissez, les données conservées doivent toujours faire l’objet de tests réguliers de restauration pour s’assurer qu’elles puissent être récupérées intactes en cas de besoin.
Cela dit, vous pourriez penser que conserver vos archives en toute sécurité est une véritable corvée. Pourtant, une fois que vous avez pris l’habitude, vous découvrirez que c’est une tâche très simple à réaliser.
Pour finir, n’oubliez pas que les ransomwares ne cesseront d’évoluer. Ils pourront donc étendre leur zone d’infestation au-delà des connexions physiques directes. Ce qui est certain, c’est qu’une solution de sauvegarde fonctionnelle et bien conçue permettra toujours de lutter contre leurs effets, peu importe leur stratégie d’attaque à l’avenir.
Contrairement à la plupart des attaques de ransomware, qui se produisent via des emails de phishing ou des kits d’exploitation, les attaques de ransomware SMBv1 se produisent à distance et ne requièrent aucune interaction de l’utilisateur.
Ces attaques exploitent une vulnérabilité du protocole Windows Server Message Block Protocol (SMB). Il s’agit d’un protocole de communication généralement utilisé pour partager les imprimantes et autres périphériques réseau. SMB fonctionne dans la couche application et est généralement utilisé sur les ports TCP/IP 445 et 139.
Généralités
Depuis sa création, l’une des principales caractéristiques des systèmes d’exploitation Windows est le transfert de fichiers. De nouvelles mises à jour ont été publiées, ce qui a permis à la marque de définir de nouvelles options pour exécuter le protocole SMB au sein des réseaux d’entreprise.
SMB est l’un des protocoles les plus prisés et les plus pratiques pour effectuer des transferts de fichiers en raison de ses nombreuses fonctionnalités. Avec le développement des nouvelles technologies, ce protocole a été mainte fois mis à jour, car les développeurs de Microsoft ont découvert des failles de sécurité qui risquaient de mettre en danger l’intégrité du réseau et des informations sensibles qui y sont hébergées.
Le protocole SMB a été lancé depuis plus d’une vingtaine d’années, à commencer par la première version (SMB v1), mais la marque dispose actuellement de la version SMB v3 qui offre une sécurité plus élevée.
Il convient de préciser qu’à l’heure actuelle, il existe des versions antérieures de Windows, ainsi que d’autres applications fonctionnant sous Android et Linux et qui ne sont pas compatibles avec SMB v2 et SMB v3. Dans ce cas, il faudra activer temporairement le protocole SMB1 pour transférer des fichiers (plus tard, nous allons vous expliquer comment l’activer de façon simple).
Qu’est-ce que le SMBv1 ?
SMBv1, ou simplement SMB1, est la première version du protocole de réseau de partage de fichiers qui est utilisé quotidiennement par presque toutes les entreprises.
Vous rappelez-vous de l’époque où vous deviez utiliser des ordinateurs avec le système d’exploitation Windows et où vous aviez deviez utiliser un lecteur « X » ou un lecteur « Z » pour stocker vos fichiers sur le réseau ?
Si c’est le cas, vous devriez donc savoir qu’à chaque fois que vous vouliez déplacer des fichiers entre un « lecteur réseau » et votre ordinateur local, vous deviez utiliser le SMB.
Au fil des ans, Windows a développé plusieurs versions du protocole SMB. La plus répandue étant SMB2 et SMB3.
À noter que la version SMB1 a été développée depuis une trentaine d’années. Beaucoup d’entreprises de nos jours n’existaient même pas à l’époque.
C’est pour cette raison que le protocole SMB1 est considéré comme un logiciel des années 80, où le monde était sans cybercriminels et où le volume des données n’était pas encore important. En outre, l’utilisation des ordinateurs n’était pas encore universelle.
En mars 2017, Microsoft a publié un correctif pour les vulnérabilités du protocole SMBv1, mais de nombreuses entreprises et de nombreux utilisateurs particuliers ne l’ont pas encore appliqué.
Pourtant, si vos systèmes ne sont pas tenus à jour, les pirates peuvent exploiter certaines vulnérabilités pour diffuser des malwares et des ransomwares.
Peut-on accéder aux fichiers sur les périphériques réseau en utilisant SMB v1 sous Windows 10 ?
SMB est un protocole de partage de fichiers en réseau inclus dans Windows 10. Il permet de lire et d’écrire des fichiers, ou encore d’effectuer d’autres demandes de service sur des appareils connectés à un réseau. D’une manière générale, vous pouvez utiliser SMB pour vous connecter à des appareils qui ne fonctionnent pas sous Windows, comme un routeur disposant des capacités de partage de fichiers, un « Network-Attached Storage » ou d’autres appareils fonctionnant sous Linux.
Bien que SMB soit désormais disponible en trois versions majeures, il est possible que certains de vos appareils fonctionnent encore avec la version originale, c’est-à-dire SMB v1, qui est ancienne et peu sûre.
Windows 10 n’installe plus ce protocole par défaut depuis 2018. Lorsque vous voulez accéder à vos fichiers en utilisant ce protocole, vous obtiendrez donc un message d’erreur du type « Erreur non spécifiée 0x80004005 », « Le nom de réseau spécifié n’est plus disponible », ou bien « Vous ne pouvez pas vous connecter au partage de fichiers, car il n’est pas sécurisé ».
Si vous ne pouvez plus accéder à certains fichiers, cela signifie que votre appareil utilise encore le protocole SMB v1, qui n’est plus pris en charge par Windows 10. Toutefois, vous pouvez toujours y accéder temporairement et désactiver le protocole pour protéger votre ordinateur.
Pour ce faire, vous pouvez récupérer vos fichiers en suivant les étapes suivantes :
Ouvrir le panneau de contrôle.
Cliquez sur « Programmes ».
Cliquez sur « Activer ou désactiver les fonctionnalités de Windows ».
Activez « SMB 1.0/CIFS File Sharing Support ».
Cochez « SMB 1.0/CIFS Client ».
Cliquez « OK ».
Cliquez « Redémarrer maintenant ».
Ceci étant fait, vous pourrez à nouveau voir vos fichiers et vous connecter à des périphériques réseau qui fonctionnent encore sous l’ancien protocole SMB v1 sur votre réseau local à partir d’un ordinateur utilisant Windows 10.
Bien entendu, ces étapes ne doivent être utilisées qu’en guise de solution temporaire afin de vous permettre de retrouver l’accès à vos fichiers stockés sur un réseau.
Une faille critique dans le protocole SMBv1 avait été identifiée
Une faille critique dans le SMBv1 avait été identifiée et corrigée par Microsoft lors d’une mise à jour de sécurité en date du 14 mars 2017 (MS17-010).
À l’époque, Microsoft avait prévenu que l’exploitation de cette faille pouvait permettre l’exécution de code à distance sur un système vulnérable.
Un programme appelé EternalBlue aurait été utilisé pendant quatre ans par le groupe informatique de cyberespionnage de haut niveau, Equation Group, lié à la National Security Agency (NSA) avant que la vulnérabilité ne soit éliminée.
Des hackers ont utilisé Eternalblue à des fins malveillantes
Ce programme et plusieurs autres ont été dérobés par un groupe de pirates appelé Shadow Brokers. Ces développeurs de malwares l’ont ensuite utilisé pour attaquer à distance les systèmes vulnérables, notamment les systèmes d’exploitation plus anciens comme Windows 7 et Windows Server 2012. Mais sachez que d’autres systèmes sont également vulnérables, à l’exemple de Windows Server 2016.
La mise à jour de sécurité MS17-010 permet désormais de corriger ces failles. Dans la foulée, même si le système d’exploitation n’est plus très utilisé de nos jours, Microsoft a publié un correctif pour mieux le sécuriser.
Les attaques de ransomware de SMB v1 les plus connus se sont produites en mai et impliquaient WannaCry, un malware qui a exploité la vulnérabilité SMB v1 et a utilisé le port TCP 445 pour se propager. Ces attaques de ransomware SMB v1 ont été menées dans le monde entier, bien qu’heureusement un commutateur de mise à mort ou « kill switch » ait été trouvé. Le kill switch avait permis de désactiver le ransomware et d’empêcher le chiffrement des fichiers.
Attaque WannaCry
En mai 2017, WannaCry a utilisé le kit d’exploitation afin de cibler les systèmes Windows, en chiffrant les données et en exigeant le paiement d’une rançon en Bitcoin.
Le ransomware se propageait comme un ver informatique, latéralement sur les ordinateurs et en exploitant la vulnérabilité SMB de Windows.
Le kit d’exploitation a permis aux pirates d’infecter environ 200 000 ordinateurs répartis dans 150 pays.
Selon des recherches récentes, environ 1,7 millions de dispositifs connectés à Internet demeurent encore vulnérables à l’exploitation de SMB v1.
Bien entendu, Microsoft a déjà publié un correctif pour remédier à cette vulnérabilité. Mais il y a également un autre risque : même lorsque des correctifs ont été appliqués, certains dispositifs de sécurité peuvent être oubliés.
Malgré le succès contre WannaCry, les attaques SMB v1 ne cessent de continuer. NotPetya, qui est un wiper destructeur, plutôt qu’un ransomware, a par exemple utilisé le programme EternalBlue. Les développeurs de malwares l’ont bel et bien intégré dans leur arsenal pour attaquer les systèmes vulnérables.
Attaque Petya
Petya est un ransomware qui a utilisé l’exploit EternalBlue pour faire des ravages. Il a été lancé au début de 2016, avant WannaCry. Au départ, le ransomware n’était pas encore très connu et ses dégâts étaient encore moindres.
Petya s’est répandue via une pièce jointe malveillante à un email que les pirates envoyaient à leurs victimes. Il peut donc être considéré comme un ransomware classique, dont le but est d’infecter votre ordinateur et vos fichiers dans le but de les chiffrer, et vous devez payer une rançon pour obtenir la clé de déchiffrement.
En fait, il ne faut jamais payer la rançon !
Au lieu de chiffrer les fichiers un par un (comme le font la plupart des malwares), Petya empêche l’utilisateur d’accéder à l’intégralité de son disque dur. Pour ce faire, il chiffre la table de fichiers maîtres (MFT) pour que le système de fichiers devienne illisible et pour que le système d’exploitation ne démarre plus.
D’autres versions de Petya peuvent également chiffrer à la fois les fichiers et la table de fichiers principale (MFT). Dans tous les cas, le résultat reste le même. Une fois qu’un appareil est infecté par Petya, l’utilisateur ne pourra plus accéder à ses fichiers jusqu’à ce qu’il paye la rançon.
Bien que la plupart des entreprises aient maintenant appliqué le correctif MS17-010, certaines d’entre elles utilisent encore des systèmes d’exploitation obsolètes. Ceux-ci restent donc vulnérables aux attaques de ransomware de SMB v1.
D’autres développeurs de malwares peuvent par exemple utiliser un kit d’exploitation pour livrer des chevaux de Troie bancaires.
Quelles solutions adopter contre les attaques de ransomware ?
Les attaques cybercriminelles via WannaCry et Petya se sont propagées en utilisant des failles dans l’ancien protocole SMB v1. Pourtant, Microsoft active toujours par défaut cette fonctionnalité pour certaines versions de Windows.
Si vous ne voulez pas être la prochaine victime d’un kit d’exploitation diffusé par des pirates, vous devriez donc vous assurer que le protocole SMB v1 est désactivé sur votre dispositif, que vous utilisiez Windows 7, 8 ou 10.
Dans ce qui suit, nous allons vous montrer comment désactiver SMB v1 sur ces trois systèmes d’exploitation.
Désactiver SMB v1 sous Windows 8 ou 10
Si vous utilisez Windows 8 ou 10, Microsoft désactivera automatiquement SMB v1 à partir de la mise à jour « Fall Creators ».
Pour ce faire, voici les étapes à suivre :
Cliquez sur « Démarrer » puis sur « Panneau de configuration »,
Cliquez sur « Programmes »,
Activez ou désactivez les fonctionnalités de Windows.
Pour faire simple, vous pouvez aussi ouvrir le menu Démarrer, cliquer sur « Fonctionnalités » dans la boîte de recherche, et cliquer sur le raccourci « Activer ou désactiver les fonctionnalités de Windows ».
Ensuite, faites défiler la liste et trouvez l’option « SMB 1.0/CIFS File Sharing Support ».
Pour finir, vous devez décocher la case correspondant à cette option pour désactiver SMB v1, puis valider en cliquant sur « OK ».
Vous serez invité à redémarrer votre PC après avoir effectué ce changement.
Désactiver SMB v1 sous Windows 7
Dans ce cas, vous allez devoir modifier le registre.
D’abord, vous devez savoir que l’éditeur de registre est un outil puissant qui vous permet de faire des modifications sous Windows. Par contre, si vous l’utilisez de manière abusive, cela peut rendre votre système inopérant ou instable.
En effet, modifier le registre, c’est comme pirater votre ordinateur. Prenez donc soin de faire une sauvegarde avant d’y apporter des modifications.
Voyons maintenant comment pouvez-vous désactiver SMB v1 sous Windows 7.
Pour commencer, vous allez ouvrir l’éditeur de registre en cliquant sur « Démarrer » et en tapant sur la case de recherche « regedit ».
Ensuite, vous appuyez sur la touche « Entrée » pour ouvrir l’éditeur de registre afin de lui donner la permission d’apporter des modifications à votre ordinateur.
Dans l’éditeur de registre, pointez votre curseur sur la barre latérale gauche jusqu’à ce que vous arriviez à la touche suivante :
Cliquez sur « Paramètres » pour créer une nouvelle valeur dans la sous-clé. Choisissez ensuite l’option « Nouveau », puis entrez le code « Valeur DWORD (32 bits). »
Nommez la nouvelle valeur SMB1.
Ceci étant fait, le DWORD sera créé avec une valeur « 0 ». Cela signifie que vous avez désactivé SMB v1.
De cette manière, vous n’avez plus besoin de modifier la valeur une fois que vous l’avez créée.
Autre solution : appliquer les mises à jour
Pour éviter les attaques de ransomwares SMB v1, les entreprises devraient s’assurer que leurs systèmes sont mis à jour. Elles devraient également effectuer un scan pour que tous les périphériques réseau soient à jour. Ces mesures peuvent empêcher l’installation de ransomwares ou de malwares.
Il existe plusieurs outils disponibles dans le commerce qui peuvent être utilisés pour rechercher les périphériques réseau non corrigés, y compris l’outil gratuit d’ESET que vous trouverez ici. Il est également recommandé de bloquer le trafic associé à EternalBlue via votre système IDS ou votre pare-feu.
Pour une raison ou une autre, si vous utilisez encore Windows XP, vous pouvez au moins empêcher l’exploitation de la faille SMB avec ce patch. Pour tous les autres systèmes, le patch MS17-010 se trouve ici.
Comment mettre à jour votre système avec MS17-010 ?
Pour éviter l’exploitation du protocole SMB v1, il est recommandé d’installer la mise à jour de sécurité MS17-010 qui a été publié par Microsoft. Ainsi, vous pourrez mieux protéger votre ordinateur contre différents types d’attaques comme celle du ransomware WannaCry.
Pour Installer la mise à jour de sécurité MS17-010, vous devez suivre les étapes ci-après en fonction du système d’exploitation Microsoft que vous utilisez.
Windows 7
D’abord, vous devez déconnecter votre ordinateur du réseau, en désactivant le Wi-Fi ou en débranchant le câble réseau.
Ensuite, redémarrez votre ordinateur. Si un kit d’exploitation a déjà infecté l’appareil et si vous ne le déconnectez pas du réseau, cela peut empêcher son redémarrage.
Après cette étape, vous pouvez exécuter le programme d’installation de MS17-010 avant de redémarrer une nouvelle fois votre ordinateur.
Une fois le processus d’installation terminée, vous pouvez reconnecter votre ordinateur au réseau.
Bon à savoir : il est possible que la procédure de dépannage ci-dessus ne fonctionne pas. Dans ce cas, il existe une alternative :
Redémarrez votre ordinateur.
Accédez aux mises à jour Windows en allant cliquant sur :
Démarrer
Panneau de configuration
Système et sécurité
Windows Update
Rechercher les mises à jour
Installer toutes les mises à jour disponibles.
Windows 8
Comme pour Windows 7, avant d’installer la mise à jour sur Windows 7, il faut télécharger MS17-010 et l’enregistrer sur votre bureau.
Ensuite, vous devez :
Déconnecter votre ordinateur du réseau (débranchez le Wi-Fi ou le réseau filaire).
Redémarrer votre ordinateur.
Si un kit d’exploitation a déjà infecté votre ordinateur et si vous ne déconnectez pas l’appareil du réseau, cela peut empêcher son redémarrage.
Une fois que votre ordinateur a redémarré :
Exécutez la mise à jour MS17-010.
Redémarrez une nouvelle fois l’ordinateur.
Reconnectez l’appareil au réseau.
Bon à savoir : il est possible que la procédure de dépannage ci-dessus ne fonctionne pas.
Dans ce cas, sachez qu’il existe une solution alternative :
Redémarrez votre ordinateur
Accédez aux mises à jour Windows en cliquant sur :
Démarrer
Panneau de configuration
Système et sécurité
Windows Update
Rechercher les mises à jour
Installer toutes les mises à jour disponibles.
Windows 10
Pour installer MS17-010 sur Windows 10, il suffit de :
Redémarrer votre ordinateur,
Cliquer sur « Démarrer »,
Sélectionner « Paramètres »,
Cliquer sur « Mise à jour et sécurité »,
Allez à « Windows Update »,
Rechercher les mises à jour
Installer toutes les mises à jour disponibles.
En cas de problèmes de mise à jour, vous avez encore une option, à savoir d’utiliser l’Assistant de mise à jour Windows 10.
Les antivirus sont-ils efficaces contre l’exploitation de la faille SMB v1 ?
Tous les fournisseurs de solutions antivirus prétendent être en mesure de protéger les utilisateurs contre EternalBlue et WannaCry. Mais en réalité, ils ne développent que des antivirus pouvant contrer seulement la charge utile. Autrement dit, les utilisateurs ne sont pas entièrement protégés contre les codes malveillants qui fonctionnent en mode kernel,
C’est pour cette raison que TitanHQ a développé des solutions utilisant les technologies de dernière génération et d’introspection de la mémoire pour protéger les fournisseurs de services gérés et leurs entreprises contre les ransomwares le plus agressifs comme WannaCry.
TitanHQ fait appel aux solutions Bitdefender GravityZone et Bitdefender Hypervisor pour vous protéger des vagues d’attaques, en détectant et interceptant à la fois le mécanisme d’entrée des éventuelles variantes du ransomware WannaCry.
Le principal moteur anti-virus de SpamTitan – une couche de sécurité efficace de TitanHQ – est fourni par Bitdefender. Cette marque développe l’un des moteurs antivirus les plus primés pour la protection exceptionnelle qu’elle fournit contre les ransomwares, les malwares et les virus.
Cette couche de sécurité est combinée avec un moteur antivirus secondaire : ClamAV. Il s’agit d’une couche de sécurité supplémentaire et efficace contre les malwares, les virus, les chevaux de Troie, les malware et les ransomwares diffusés via la messagerie électronique.
Des vulnérabilités ont déjà existé. Elles existent encore et continueront d’exister. Par ailleurs, les failles de sécurité seront encore exploitées par les pirates informatiques avant la publication des mises à jour. Pendant cette période, vous n’aurez donc aucun moyen de vous protéger contre les nouveaux kits d’exploitations.
Seuls des antivirus fiables pourront vous protéger contre le téléchargement de malwares et réagir à l’apparition de nouveaux fichiers dans votre système d’exploitation.
L’essentiel est donc de garder votre antivirus activé.
À propos de TitanHQ
TitanHQ est un fournisseur de services de sécurité web basée dans le cloud. Selon la marque, le troisième trimestre 2019 a été la période pendant laquelle elle a connu une croissance phénoménale, et ce, depuis 25 ans. Cette croissance est le fruit de l’augmentation de la demande de ses solutions de sécurité : SpamTitan et WebTitan.
Plus de 2 200 fournisseurs de services gérés travaillent actuellement avec TitanHQ et utilisent sa plate-forme. La société irlandaise fournit également des solutions de sécurité réseau, incluant la sécurité des emails et le filtrage DNS, ainsi qu’un système d’archivage des emails, ArcTitan.
La marque s’engage à fournir des produits efficaces et des ressources techniques supplémentaires, des systèmes de tarification flexibles et des marges concurrentielles qui répondent aux besoins des fournisseurs de services gérés. Ses clients peuvent bénéficier d’un important support de vente et de marketing, avec l’accompagnement des ingénieurs, des gestionnaires de comptes et des équipes de soutien dédiés.
Vous voulez savoir comment vous protéger des attaques contre SMB v1 et contre les menaces de malwares et de ransomwares ? Contactez-nous dès aujourd’hui.
Le rapport de l’enquête « 2017 SANS Threat Landscape Survey » présente des informations précieuses sur les types de menaces qui pèsent aujourd’hui sur les entreprises et sur la manière d’anticiper les attaques et de devancer les attaquants. Comme on pouvait s’y attendre, l’étude a révélé que le phishing (y compris le spear phishing, le whaling) et les ransomwares représentaient les deux menaces les plus importantes pour les organisations au cours de la dernière année. Cette année, les attaques DDoS ont remplacé les menaces persistantes avancées (APT) en tant que troisième menace la plus importante.
Selon le rapport, « Les endpoints (terminaux) — et les utilisateurs derrière eux — sont sur la ligne de front de la bataille. Ensemble, ils représentent les points d’entrée les plus importants pour les attaquants qui veulent prendre pied dans le réseau de l’entreprise. Les utilisateurs sont aussi le meilleur outil de détection des organisations contre les menaces réelles. »
Surmonter les obstacles
Le manque de ressources qualifiées en matière de sécurité entrave les efforts de protection. Les informaticiens indiquent qu’ils ont encore des difficultés à filtrer les faux positifs et à distinguer les menaces réelles et à fort impact auxquelles ils doivent réagir.
Il était clair, parmi les personnes interrogées, qu’il y avait un fort besoin de compétences ou de budget pour mettre en œuvre les solutions nécessaires à la protection contre les menaces.
Résultats de l’enquête SANS
Les résultats de l’enquête mettent en évidence que les utilisateurs et les endpoints sont des cibles primaires, mais ils font aussi partie de la solution.
37% des personnes interrogées ont indiqué que leur service d’assistance informatique les avait aidées à reconnaître les menaces les plus importantes. La formation des utilisateurs, l’amélioration des pratiques de sécurité et une meilleure visibilité de l’activité du réseau ont été citées comme les principales mesures pour améliorer la prévention des menaces.
Ce rapport est, en fait, intéressant à lire. Lisez-le pour savoir comment les attaques évoluent et comment les cybercriminels contournent les moyens de défense mis en place par les entreprises. Vous pouvez y accéder en suivant ce lien : SANS 2017 Threat Landscape Survey Report.
Les experts en cybersécurité ont déclaré que le ransomware (rançongiciel) – qui s’est présenté comme une mise à jour d’Adobe avant de verrouiller les ordinateurs et d’exiger de l’argent pour que les gens récupèrent leurs fichiers – visait les entreprises de médias russes et les systèmes de transport ukrainiens. Il a également été détecté dans d’autres pays, notamment aux États-Unis, en Allemagne et au Japon.
Bad Rabbit semble être l’une des cyberattaques les plus importantes depuis celle de NotPetya qui a causé le chaos dans le monde entier au mois de juin dernier. NotPetya et Wannacry – qui a aussi défrayé la chronique la même année en raison de sa propagation rapide – ont causé des perturbations généralisées dans les entreprises, les institutions gouvernementales et les hôpitaux.
Comment Bad Rabbit se propage-t-il ?
Contrairement à d’autres épidémies récentes de malwares qui se sont propagées par des moyens plus passifs, Bad Rabbit a besoin que la victime potentielle télécharge et exécute un faux fichier d’installation Adobe Flash pour que le ransomware infiltre son système.
L’une des méthodes de distribution de Bad Rabbit est le téléchargement par drive-by. Certains sites web populaires sont compromis et ont du JavaScript injecté dans leur code HTML ou dans un de leurs fichiers .js. Le fichier malveillant s’appelle « install_flash_player.exe » et doit être lancé manuellement par la victime.
Les rapports suggèrent que contrairement à Petya, Bad Rabbit n’est pas un wiper. Cela dit, céder à une rançon ne fait qu’encourager la prolifération de ce type de cybercriminalité. Il ne faut donc surtout pas payer.
Prévention d’une infection par un ransomware
Quelle leçon peut-on tirer de Bad Rabbit ? La vérité, c’est que vous devriez plus être une nouvelle victime des attaques de rançon.
L’essentiel est de :
Mettre à jour régulièrement vos systèmes d’exploitation et vos applications
Utiliser la règle des backups 3-2-1
Filtrer Internet et le courrier électronique
Installer une suite de sécurité
Protéger les informations d’identification privilégiées
Informer les utilisateurs. Cela permet de prévenir la plupart des infections
Vous êtes un professionnel de l’informatique et vous voulez vous assurer que vos données et vos appareils sensibles soient protégés ? Parlez à un spécialiste ou envoyez-nous un e-mail à info@titanhq.fr pour toute question.
Le jour du vendredi 12 mai 2017 a été le théâtre d’une importante cyberattaque mondiale de ransomware. À l’origine, le virus surnommé « Wannacry » qui a ciblé les entreprises et a provoqué des perturbations majeures dans le monde entier.
Il cible une vulnérabilité Microsoft qui n’a pas été corrigée. Une fois que le ransomware réussit à chiffrer des fichiers sur un ordinateur, il demande un paiement bitcoin pour un décryptage sécurisé. Tous les détails sur l’attaque peuvent être lus ici.
SpamTitan Cloud
Si vous êtes un client de TitanHQ et que vous utilisez le service SpamTitan Cloud, rassurez-vous, car notre service antivirus bloque cette attaque.
Nous travaillons étroitement avec nos fournisseurs pour vous faire bénéficier d’une protection optimale.
SpamTitan Gateway/SpamTitan Private Cloud
Si vous êtes un client TitanHQ et que vous utilisez notre solution SpamTitan Gateway ou notre solution SpamTitan Private Cloud, nous vous recommandons de vérifier que votre antivirus Kaspersky et Clam sont tous deux activés et mis à jour toutes les heures.
Les deux fonctions se trouvent sous l’onglet Filtrage de contenu > Virus.
En cas de doute, vous pouvez effectuer une mise à jour manuelle en cliquant sur « Démarrer » sous l’onglet « Mise à jour maintenant ».
Nos ingénieurs de sécurité continueront à suivre cette situation et vous contacteront pour vous donner des conseils si nécessaire. Si vous avez des questions, n’hésitez pas à nous contacter.
Une nouvelle variante de ransomware appelée « Popcorn Time » a été découverte.
Elle utilise une approche inventive pour augmenter les infections : le malware transforme les victimes en agresseurs en leur offrant un rabais de type pyramidal. En effet, Popcorn Time supprime vos fichiers, sauf si vous infectez vos amis ou payez une rançon. Comme tous ses prédécesseurs, il est conçu pour chiffrer vos fichiers afin qu’ils soient inaccessibles.
Une fois les fichiers infectés, le propriétaire est alerté du chiffrement de ses fichiers et est invité à payer une rançon afin d’obtenir la clé de déchiffrement. Popcorn Time utilise le chiffrement AES-s56 et cible plus de 500 types de fichiers différents qui résident dans la bibliothèque du propriétaire de l’ordinateur. Ces fichiers comprennent « Mes documents », « Mes images », « Mes photos », « Ma musique », etc.
Options de paiement
Le montant actuel de la rançon Popcorn Time est d’un Bitcoin, soit environ 780$ au moment d’écriture de cet article. Une note de rançon stockée dans deux fichiers, restore_your_files.html et restore_your_files.txt, informe la victime qu’elle a sept jours pour payer la rançon.
Celle-ci comprend l’identifiant personnel attribué à l’ordinateur pour le crédit de paiement et un lien pour envoyer les fonds nécessaires. Ce type d’annonce d’extorsion est commun à toutes les attaques de ransomwares. Dans la note de rançon, ce processus de paiement est appelé « La voie rapide et facile », autrement dit, payez les frais de déchiffrement de vos fichiers et poursuivez votre vie.
Popcorn Time — Transformer les victimes en agresseurs
Ce qui différencie Popcorn Time de ses prédécesseurs, c’est que la note de rançon inclut une seconde méthode pour récupérer la clé de déchiffrement. Popcorn Time malware offre aux utilisateurs la suppression gratuite du chiffrement s’ils demandent à deux autres personnes d’installer le lien et de payer.
Appelée « The Nasty Way », la note se lit comme suit :
« Envoyez le lien ci-dessous à d’autres personnes. Si deux personnes ou plus installent ce fichier et paient, nous déchiffrerons vos fichiers gratuitement. »
Le concept ressemble beaucoup aux chaînes d’e-mails qui étaient courantes il y a quelques années, dans lesquelles un destinataire était encouragé à transmettre un e-mail à un certain nombre de personnes afin d’éviter la malchance. Nous ne saurons jamais combien de personnes ont pris le temps de transmettre ces e-mails, mais y a-t-il quelqu’un d’aussi peu scrupuleux pour infecter sciemment des gens qu’ils connaissent ?
Si l’on met de côté la question d’éthique, l’idée d’encourager les gens à infecter d’autres personnes qu’ils connaissent pourrait s’avérer un moyen beaucoup plus efficace de transmettre des malwares. La plupart des gens ont reçu des e-mails de quelqu’un dont le compte de messagerie a été compromis par un spammeur.
Ces cas sont faciles à identifier dans la mesure où l’on reçoit un e-mail adressé à une longue liste de destinataires. L’e-mail comprend généralement une ligne disant : « Je pense que vous pourriez trouver cela intéressant », suivie d’un lien qui télécharge à son tour le malware et infecte l’ordinateur.
Retourner les victimes contre leurs associés
Imaginez maintenant que vous recevez un e-mail d’un « ami à vous » (même si c’est n’est peut-être pas un ami de longue date) dans lequel il écrit quelques paragraphes sur ses dernières vacances, ou un court paragraphe sur un nouveau restaurant chaud qu’il a découvert le week-end dernier. Le récit serait alors suivi d’un lien. La personnalisation de l’e-mail inciterait grandement à cliquer sur le lien. Sachez toutefois que quiconque choisit de transmettre le lien malveillant commet un crime tout aussi grave que le cybercriminel qui a envoyé l’e-mail original.
Comme toute forme de ransomware, il n’y a aucune garantie que l’on recevra un jour la clé de déchiffrement, même lorsque la rançon est payée. C’est pourquoi de nombreux professionnels de la cybersécurité recommandent de ne pas choisir cette option. Et même lorsque le ransomware est transmis à d’autres personnes, qui peut dire que celles-ci décideront de payer ? Que se passerait-il alors s’ils se montraient, eu aussi, tout aussi peu scrupuleux que la personne qui leur a fait parvenir l’information et qu’ils choisissent l’option 2 ? La question la plus préoccupante est celle de savoir ce qu’il adviendra si tous vos collègues sont infectés. Rien ne peut garantir que le cybercriminel ne va pas revenir réclamer une rançon en échange de ne pas vous appeler publiquement ?
Un autre nouvel attribut plus subtil de cette souche de ransomware est que le malware supprimera tous vos fichiers si le mauvais code de déchiffrement est tapé 4 fois dans le champ de saisie. Il n’est pas rare que des souches de ransomwares suppriment des fichiers.
Comme pour tous les ransomwares, une bonne sauvegarde est l’antidote permettant de contourner les effets néfastes du chiffrement de vos fichiers. Malheureusement, beaucoup de gens ne prennent pas au sérieux la nécessité de sauvegarder leurs fichiers, c’est pourquoi les utilisateurs personnels continueront d’être des victimes des ransomwares. Un rapport récent de Kaspersky suggère que les attaques de ransomware ont considérablement augmenté au cours des 12 derniers mois. Les PME ont été les plus touchées, étant donné que 42 % d’entre elles ont été victimes d’une attaque de ransomware pendant cette période.
Comment battre un Ransomware ?
Bien que les menaces susmentionnées semblent effrayantes, il existe des mesures simples que vous pouvez prendre pour les éviter et les vaincre. La meilleure façon d’éviter les demandes de rançon est de faire preuve de bon sens :
N’ouvrez pas les pièces jointes aux e-mails dont vous ne reconnaissez pas les expéditeurs,
Évitez de cliquer sur des liens si vous ne pouvez pas vérifier qu’ils sont sûrs,
Installez un logiciel de sécurité réseau capable d’empêcher une infection de chiffrer les fichiers sur votre PC,
Assurez-vous que tous vos logiciels sont à jour. Les pirates utilisent les vulnérabilités pour attaquer votre PC,
Si vous recevez un document d’une source inconnue, ne l’ouvrez pas,
Surtout, assurez-vous de sauvegarder régulièrement toutes les données de votre entreprise dans le cloud ou sur un autre disque non connecté à votre réseau,
Le meilleur conseil est de suivre la règle du 3-2-1.
Règle de sauvegarde 3-2-1
Afin d’assurer des sauvegardes fiables et sans souci, vous avez besoin de redondance, ce qui est le but de la sauvegarde 3-2-1 traditionnelle. La conception topologique de la sauvegarde 3-2-1 est la suivante :
Avoir au moins 3 copies de vos données,
Utilisez deux formats de médias différents,
L’une des copies doit être conservée hors site.
Avoir trois copies de vos données signifie que vous devez avoir une copie (qui est l’original) supportée par deux copies de sauvegarde séparées. Vos données doivent être stockées sur deux supports distincts. Il peut également s’agir d’un support traditionnel qui semble si ancien aujourd’hui, mais qui est suffisamment mobile pour être transporté hors site dans un endroit sûr, comme un site distinct utilisé par votre organisation ou même un coffret de sûreté dans une banque locale. Une solution possible, qui satisfait à la fois les conditions de deux types de médias et d’un emplacement distant, est l’utilisation de la fonction de snapshotting de votre infrastructure SAN (réseau de stockage). Bien sûr, il va sans dire que tout plan de sauvegarde doit inclure des restaurations et des tests réguliers des données pour s’assurer que celles-ci peuvent être récupérées intactes.
Les ransomwares mûrissent en tant que forme de malware et peuvent donc évoluer vers de nouvelles formes qui peuvent s’étendre au-delà des connexions physiques directes. La seule certitude concernant le ransomware, cependant, est que le maintien d’une solution de sauvegarde fonctionnelle bien conçue servira de mesure efficace contre les effets durables du ransomware, peu importe comment il peut évoluer un jour.
Popcorn Time ransomware est actuellement en cours de développement, mais tant de choses peuvent changer avec le temps. Au fur et à mesure que ce ransomware se développera, nous publierons de nouvelles informations.
Comme d’habitude, votre meilleure défense est de prévenir l’infection en premier lieu, découvre dans nos autres articles comment réduire les risques d’infection par un malware. Si vous êtes un pro de l’informatique et que vous avez des questions sur les ransomwares ou d’autres menaces dangereuses de malwares. Parlez à un spécialiste ou envoyez-nous un e-mail à info@titanhq.com pour toute question.
